Adware modifiziert GET und POST Variablen mit Urls ?! |
||
---|---|---|
#0
| ||
09.04.2006, 15:08
...neu hier
Beiträge: 4 |
||
|
||
09.04.2006, 17:15
Ehrenmitglied
Beiträge: 29434 |
#2
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank PC neustarten stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.04.2006, 19:30
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo,
Die Option "Delete Prefetched Files" war bei mir nciht anwählbar im Cleanup. Hier die 4 Dateien mit 3 Monaten: Zitat Verzeichnis von C:\WINDOWS\system32 Zitat Verzeichnis von C:\DOKUME~1\MARCDI~1\LOKALE~1\Temp Zitat Verzeichnis von C:\WINDOWS Zitat Verzeichnis von C:\Liebe Grüße, marc |
|
|
||
09.04.2006, 22:46
Ehrenmitglied
Beiträge: 29434 |
#4
poste das 1 Log noch mal...bis Dezember -> Verzeichnis von C:\WINDOWS\system32
+ http://virus-protect.org/artikel/tools/ADSSpy.exe Klicke config -> Misc Tools -> Oeffne ADS spy -> Uncheck quickscan -> Click Scan -> Save log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.04.2006, 02:53
...neu hier
Themenstarter Beiträge: 4 |
#5
Hallo,
Hier das Log bis Dezember: Zitat Verzeichnis von C:\WINDOWS\system32Das Log von ADS im Anhang (allerdings konnte ich da nirgendwo auf options klicken, bei mir kam direkt das programmfenster, wo cih dann quick check deaktivierte und das log gespeichert habe) Viele Grüße, Marc Anhang: log23.txt
|
|
|
||
10.04.2006, 11:51
Ehrenmitglied
Beiträge: 29434 |
#6
AlphaSky
http://virus-protect.org/artikel/spyware/trojanagenteo.html http://virus-protect.org/artikel/spyware/trojanagent2.html 1. SmitRem2.8 (laden und auf dem desktop entpacken) http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT43. KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ C:\WINDOWS\system32\lhacm.acm C:\WINDOWS\system32\stub41.ini C:\WINDOWS\system32\stub45.ini C:\WINDOWS\system32\stub44.ini C:\WINDOWS\system32\stub43.ini C:\WINDOWS\system32\stub42.ini natuerlich ohne das datum in die killbox kopieren...ich bin nur zu faul alles wegzunehmen... 08.01.2006 05:54 24.703 C:\WINDOWS\system32\stub40.ini 08.01.2006 05:31 24.420 C:\WINDOWS\system32\stub39.ini 08.01.2006 05:28 24.711 C:\WINDOWS\system32\stub38.ini 07.01.2006 18:10 24.442 C:\WINDOWS\system32\stub37.ini 07.01.2006 18:09 24.735 C:\WINDOWS\system32\stub36.ini 07.01.2006 18:05 24.305 C:\WINDOWS\system32\stub35.ini 07.01.2006 18:03 24.912 C:\WINDOWS\system32\stub34.ini 07.01.2006 18:03 24.391 C:\WINDOWS\system32\stub33.ini 07.01.2006 18:02 24.500 C:\WINDOWS\system32stub32.ini 07.01.2006 17:59 24.410 C:\WINDOWS\system32\stub31.ini 07.01.2006 17:59 24.809 C:\WINDOWS\system32\stub30.ini 07.01.2006 17:18 24.364 C:\WINDOWS\system32\stub29.ini 07.01.2006 17:18 24.101 C:\WINDOWS\system32\stub28.ini 07.01.2006 17:17 24.565 C:\WINDOWS\system32\stub27.ini 07.01.2006 17:02 23.818 C:\WINDOWS\system32\stub26.ini 07.01.2006 16:58 23.904 C:\WINDOWS\system32\stub25.ini 07.01.2006 16:56 23.580 C:\WINDOWS\system32\stub24.ini 07.01.2006 16:54 24.085 C:\WINDOWS\system32\stub23.ini 07.01.2006 16:52 23.060 C:\WINDOWS\system32\stub22.ini 07.01.2006 16:52 23.219 C:\WINDOWS\system32stub21.ini 07.01.2006 16:51 23.685 C:\WINDOWS\system32\stub20.ini C:\WINDOWS\system32\stub19.ini C:\WINDOWS\system32\stub18.ini C:\WINDOWS\system32\stub17.ini C:\WINDOWS\system32\stub16.ini C:\WINDOWS\system32\stub15.ini C:\WINDOWS\system32\stub14.ini C:\WINDOWS\system32\stub13.ini C:\WINDOWS\system32\stub12.ini C:\WINDOWS\system32stub11.ini C:\WINDOWS\system32\stub10.ini C:\WINDOWS\system32\stub9.ini C:\WINDOWS\system32\stub8.ini C:\WINDOWS\system32\msmqinst.log C:\WINDOWS\system32\updspapi.log C:\WINDOWS\system32\cyuwo.txt C:\WINDOWS\system32\stub7.ini C:\WINDOWS\system32stub6.ini C:\WINDOWS\system32\stub5.ini C:\WINDOWS\system32\stub4.ini C:\WINDOWS\system32\stub3.ini C:\WINDOWS\system32\stub2.ini C:\WINDOWS\system32\stub1.ini C:\WINDOWS\system32\logs1.ini C:\WINDOWS\system32\logs2.ini C:\bla.txt C:\WINDOWS\cadkasdeinst01.exe PC neustarten 4. AboutBuster http://virus-protect.org/antispytools.html * Alle Dateien in einen Ordner entpacken * die Readme Datei lesen 5. starte in den abgesicherten Modus (XP/Win2000 "F8" druecken, wenn der PC bootet) 6. und die fixme.reg doppelt klicken --> mit "ja" der Regisytry beifuegen AboutBuster * Klicke auf "Start". (Warte bis der initiale ADS Scan fertig ist.) * Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird. (Warte bis der about:blank Scan fertig ist.) * Klicke auf "Ok", um den Scan nochmal laufen zu lassen. * Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird. * Klicke auf "Yes", um die zweite Runde zu beginnen. * Klicke auf "Save log" (speichere das Logfile).--> hier posten * Klicke auf "Exit". --------------------------------------------------------------------------- 7.. öffne smitRem ,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal ----------------------------------------------------------------------- 8. counterspy http://virus-protect.org/counterspy.html * nach dem Scan muss man sich entscheiden für: *Ignore *Remove --> Status: Deleted *Quarantaine wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab ---------------------------------------------------------------------- 9. kopiere den scanreport http://virus-protect.org/artikel/tools/ADSSpy.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.04.2006, 15:04
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo,
CounterSpy: Zitat Spyware Scan Details Zitat AboutBuster 6.01Also ich habe das jetzt mal überprüft, es scheint weg zu sein. War es das jetzt oder muss noch etwas überprüft werden ? Viele grüße, Marc |
|
|
||
10.04.2006, 15:07
Ehrenmitglied
Beiträge: 29434 |
#8
1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (nach der Reinigung wieder aktivieren) 2. scanne mit panda und mit Kaspersky und poste beide scanreporte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
immer, wenn ich mich zum Beispiel in einem Forum registriere, dort ein Profil bearbeite und ein feld mit dem Namen "url" vorkommt, wird, sofern ich dieses freilasse, einfach eine Domain an die Stelle gesetzt.
Zum Beispiel:
http://www.artfv.com
http://www.artfv.com/architecture/history/
http://www.artfv.com/animation/anime/titles/s/
http://www.artfv.com/television/programs/comedy/
http://www.recdir.com/travel/
http://freemusicfair.info/artist/filter/B/
Das Gleiche gilt für GET Variablen, also wenn ich auf einen Link klicke, der lautet:
http://www.blabla.de/forum.php?boardid=5&thread=27&url=
und sich hinter der Variable "url" kein Wert befindet, so wird dieser eben durch eine der genannten Domains ausgefüllt:
http://www.blabla.de/forum.php?boardid=5&thread=27&url=http://www.artv.com
Lavasoft Ad-Aware & Spyware SD finden nichts und im gesamten netz finde ich auch nichts über diese Problematik.
Der Fehler taucht nur im Internet Explorer auf, dort habe ich auhc alle Add-Ons deaktiviert bis auf die Java Konsole + Macromedia Flash.
Mit HiJackThis habe ich auch schon geschaut, werde aber nciht schlauer draus....
Hat irgendwer von euch eine Ahnung, was das sein könnte ??
Viele Grüße,
Marc
--------
Logfile of HijackThis v1.99.1
Scan saved at 15:03:48, on 09.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\cisvc.exe
D:\Programme\ICQPlus\vplus.exe
D:\Programme\DeeEnEs\DeeEnEs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Symantec\Ghost\ngserver.exe
D:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PGPserv.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\svchost.exe
D:\Programme\RealVNC\VNC4\winvnc4.exe
C:\Programme\PGP Corporation\PGP Desktop\PGPtray.exe
D:\Programme\Notizblock\Notizblock.exe
D:\Programme\SpamPal\spampal.exe
D:\Programme\Symantec\Ghost\bin\dbserv.exe
D:\Programme\Symantec\Ghost\bin\rteng7.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Dokumente und Einstellungen\Marc Diehl\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [ICQ Plus] "D:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [DeeEnEs] D:\Programme\DeeEnEs\DeeEnEs.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Notitzblock.lnk = D:\Programme\Notizblock\Notizblock.exe
O4 - Startup: SpamPal.lnk = D:\Programme\SpamPal\spampal.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PGPtray.exe.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {3C23612F-F1C1-41AF-90E0-E63426DD7FB4} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {3C23612F-F1C1-41AF-90E0-E63426DD7FB4} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O15 - Trusted Zone: http://www.onlinetvrecorder.com
O15 - Trusted Zone: *.onlinetvrecorder.com
O15 - Trusted IP range: 83.142.84.2
O15 - Trusted IP range: http://83.142.84.2
O15 - Trusted IP range: http://83.142.84.3
O15 - Trusted IP range: http://83.142.84.4
O16 - DPF: {4DBB4CC1-9B1D-4CA5-9C41-613FC61EA1E6} (bildpartner_de_upload Control) - http://www.bildpartner.de/upload/bildpartner_de_upload.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B984EE33-C661-46F1-A43E-691473A48DE8}: NameServer = 88.198.0.72
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: OCMAPIHK.DLL
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec Corporation - D:\Programme\Symantec\Ghost\bin\dbserv.exe
O23 - Service: Symantec Ghost Configuration Server (NGServer) - Symantec Corporation - D:\Programme\Symantec\Ghost\ngserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe